EP3432523B1

EP3432523B1 - Procédé et système pour connecter un terminal a un réseau privé virtuel

Info

Publication number: EP3432523B1
Application number: EP17785379.3A
Authority: EP
Inventors: Yancheng YANG; Xiangrong Chen
Original assignee: Huawei Technologies Co Ltd
Current assignee: Huawei Technologies Co Ltd
Priority date: 2016-04-18
Filing date: 2017-04-12
Publication date: 2020-09-09
Anticipated expiration: 2037-04-12
Also published as: US20190052482A1; EP3432523A1; CN107306214B; WO2017181894A1; CN107306214A; EP3432523A4; US11165604B2

Claims

Procédé utilisé par un terminal pour se connecter à un réseau privé virtuel (VPN), comprenant les étapes consistant à :
recevoir (201), par un dispositif de contrôle de VPN, un premier message d'établissement de liaison envoyé par une passerelle de routage, le premier message d'établissement de liaison étant envoyé par la passerelle de routage après la réception, par la passerelle de routage, d'un deuxième message d'établissement de liaison envoyé par un terminal, le deuxième message d'établissement de liaison étant utilisé pour amorcer un processus de négociation d'une première session sur couche de socket sécurisée (SSL) avec le dispositif de contrôle de VPN ;

déterminer (202), par le dispositif de contrôle de VPN selon le premier message d'établissement de liaison, un paramètre de session de la première session SSL en négociant avec le terminal, et tenter d'authentifier le terminal au moyen de la première session SSL ;

une fois le terminal authentifié, déterminer (203), par le dispositif de contrôle de VPN, une adresse sur protocole Internet (IP) d'une première passerelle VPN à laquelle le terminal est autorisé à se connecter ; et

notifier (204), par le dispositif de contrôle de VPN au terminal, l'adresse IP de la première passerelle VPN, le premier message d'établissement de liaison transportant une entrée de route directe de la passerelle de routage et l'entrée de route directe comprenant un préfixe de sous-réseau d'une passerelle VPN qui est située sur la passerelle de routage dans un mode de contournement ; et

la détermination, par le dispositif de contrôle de VPN, d'une adresse IP d'une première passerelle VPN comprenant l'étape consistant à :
obtenir, par le dispositif de contrôle de VPN à partir d'une liste d'adresses IP configurées de toutes les passerelles VPN, une adresse IP d'une passerelle VPN qui appartient au préfixe de sous-réseau, de la passerelle VPN, comprise dans l'entrée de route directe, et déterminer que l'adresse IP obtenue de la passerelle VPN est l'adresse IP de la première passerelle VPN.
Procédé selon la revendication 1, le procédé comprenant en outre l'étape consistant à :
notifier, par le dispositif de contrôle de VPN à la première passerelle VPN, une adresse IP du terminal et le paramètre de session de la première session SSL, la première passerelle VPN stockant l'adresse IP du terminal et le paramètre de session de la première session SSL, et le paramètre de session comprenant une clé de session, un identifiant de session et un algorithme de cryptage.
Procédé selon l'une quelconque des revendications 1 et 2, le procédé comprenant en outre l'étape consistant à :
envoyer, par le terminal, un troisième message d'établissement de liaison à la première passerelle VPN, le troisième message d'établissement de liaison étant utilisé pour amorcer un processus de négociation d'une seconde session SSL avec la première passerelle VPN, le troisième message d'établissement de liaison transportant l'identifiant de session et un texte chiffré, et le texte chiffré étant généré en cryptant l'adresse IP du terminal au moyen de la clé de session et de l'algorithme de cryptage.
Procédé selon l'une quelconque des revendications 1 à 3, dans lequel la tentative d'authentification, par le dispositif de contrôle de VPN, du terminal au moyen de la première session SSL comprend les étapes consistant à :
recevoir, par le dispositif de contrôle de VPN au moyen de la première session SSL, un message d'authentification envoyé par le terminal, le message d'authentification transportant l'identifiant de session et des données d'authentification, et les données d'authentification étant obtenues en cryptant un identifiant du terminal au moyen de l'algorithme de cryptage et de la clé de session ;

analyser, par le dispositif de contrôle de VPN, le message d'authentification afin d'obtenir l'identifiant de session et les données d'authentification qui sont transportés dans le message d'authentification ; après la détermination du fait que le dispositif de contrôle de VPN stocke l'identifiant de session, décrypter les données d'authentification au moyen de la clé de session et de l'algorithme de cryptage afin d'obtenir l'identifiant du terminal ; et envoyer l'identifiant du terminal à un serveur d'authentification ; et

en cas de réception d'un message de succès d'authentification renvoyé par le serveur d'authentification, déterminer, par le dispositif de contrôle de VPN, qu'un accès du terminal est autorisé, le message de succès d'authentification étant renvoyé par le serveur d'authentification une fois que le serveur d'authentification détermine que l'identifiant du terminal existe ; ou en cas de réception d'un message d'échec d'authentification renvoyé par le serveur d'authentification, déterminer, par le dispositif de contrôle de VPN, qu'un accès du terminal n'est pas autorisé.
Système utilisé par un terminal pour se connecter à un réseau privé virtuel (VPN), comprenant :
un terminal (101), configuré pour envoyer un deuxième message d'établissement de liaison à une passerelle de routage (103), le deuxième message d'établissement de liaison étant utilisé pour amorcer un processus de négociation d'une première session sur couche de socket sécurisée (SSL) avec un dispositif de contrôle de VPN (104) ;

la passerelle de routage, configurée pour envoyer un premier message d'établissement de liaison au dispositif de contrôle de VPN après la réception du deuxième message d'établissement de liaison envoyé par le terminal ; et

le dispositif de contrôle de VPN, configuré pour recevoir le premier message d'établissement de liaison envoyé par la passerelle de routage, déterminer, selon le premier message d'établissement de liaison, un paramètre de session de la première session SSL en négociant avec le terminal, et tenter d'authentifier le terminal au moyen de la première session SSL ; une fois le terminal authentifié, déterminer une adresse sur protocole Internet (IP) d'une première passerelle VPN à laquelle le terminal est autorisé à se connecter ; et notifier au terminal l'adresse IP de la première passerelle VPN, la passerelle de routage étant spécifiquement configurée pour :
ajouter une entrée de route directe au deuxième message d'établissement de liaison afin d'obtenir le premier message d'établissement de liaison, l'entrée de route directe comprenant un préfixe de sous-réseau d'une passerelle VPN qui est située sur la passerelle de routage dans un mode de contournement ; et

le dispositif de contrôle de VPN étant spécifiquement configuré pour :
obtenir, à partir d'une liste d'adresses IP configurées de toutes les passerelles VPN, une adresse IP d'une passerelle VPN qui appartient au préfixe de sous-réseau, de la passerelle VPN, comprise dans l'entrée de route directe, et déterminer que l'adresse IP obtenue de la passerelle VPN est l'adresse IP de la première passerelle VPN.
Système selon la revendication 5, dans lequel le dispositif de contrôle de VPN est en outre configuré pour :
notifier à la première passerelle VPN une adresse IP du terminal et le paramètre de session de la première session SSL ; et

la première passerelle VPN est spécifiquement configurée pour :
stocker l'adresse IP du terminal et le paramètre de session de la première session SSL, le paramètre de session comprenant une clé de session, un identifiant de session et un algorithme de cryptage.
Système selon l'une quelconque des revendications 5 et 6, dans lequel le terminal est en outre configuré pour :
envoyer un troisième message d'établissement de liaison à la première passerelle VPN, le troisième message d'établissement de liaison étant utilisé pour amorcer un processus de négociation d'une seconde session SSL avec la première passerelle VPN, le troisième message d'établissement de liaison transportant l'identifiant de session et un texte chiffré, et le texte chiffré étant généré en cryptant l'adresse IP du terminal au moyen de la clé de session et de l'algorithme de cryptage.
Système selon l'une quelconque des revendications 5 à 7, dans lequel le terminal est spécifiquement configuré pour :
envoyer un message d'authentification au dispositif de contrôle de VPN au moyen de la première session SSL, le message d'authentification transportant l'identifiant de session et des données d'authentification, et les données d'authentification étant obtenues en cryptant un identifiant du terminal au moyen de l'algorithme de cryptage et de la clé de session ; le dispositif de contrôle de VPN étant spécifiquement configuré pour :
recevoir, au moyen de la première session SSL, le message d'authentification envoyé par le terminal ; analyser le message d'authentification afin d'obtenir l'identifiant de session et les données d'authentification qui sont transportés dans le message d'authentification ; après la détermination du fait que le dispositif de contrôle de VPN stocke l'identifiant de session, décrypter les données d'authentification au moyen de la clé de session et de l'algorithme de cryptage afin d'obtenir l'identifiant du terminal ;

et envoyer l'identifiant du terminal à un serveur d'authentification ;

le serveur d'authentification étant spécifiquement configuré pour :
recevoir l'identifiant du terminal envoyé par le dispositif de contrôle de VPN, et s'il est déterminé que le serveur d'authentification stocke l'identifiant du terminal, renvoyer un message de succès d'authentification au dispositif de contrôle de VPN ;

ou s'il est déterminé que le serveur d'authentification ne stocke pas l'identifiant du terminal, renvoyer un message d'échec d'authentification au dispositif de contrôle de VPN; et

le dispositif de contrôle de VPN étant spécifiquement configuré pour :
en cas de réception du message de succès d'authentification renvoyé par le serveur d'authentification, déterminer qu'un accès du terminal est autorisé ; ou en cas de réception du message d'échec d'authentification renvoyé par le serveur d'authentification, déterminer qu'un accès du terminal n'est pas autorisé.
Dispositif de contrôle de réseau privé virtuel (VPN), comprenant :
un module de réception (1201), configuré pour recevoir un premier message d'établissement de liaison envoyé par une passerelle de routage, le premier message d'établissement de liaison étant envoyé par la passerelle de routage après la réception, par la passerelle de routage, d'un deuxième message d'établissement de liaison envoyé par un terminal, le deuxième message d'établissement de liaison étant utilisé pour amorcer un processus de négociation d'une première session sur couche de socket sécurisée (SSL) avec le dispositif de contrôle de VPN ;

un module d'authentification (1202), configuré pour : déterminer, selon le premier message d'établissement de liaison, un paramètre de session de la première session SSL en négociant avec le terminal, et tenter d'authentifier le terminal au moyen de la première session SSL ;

un module de détermination (1203), configuré pour : une fois le terminal authentifié, déterminer une adresse sur protocole Internet (IP) d'une première passerelle VPN à laquelle le terminal est autorisé à se connecter ; et

un module de notification (1204), configuré pour notifier au terminal l'adresse IP de la première passerelle VPN, le premier message d'établissement de liaison transportant une entrée de route directe de la passerelle de routage et l'entrée de route directe comprenant un préfixe de sous-réseau d'une passerelle VPN qui est située sur la passerelle de routage dans un mode de contournement ; et

le module de détermination étant spécifiquement configuré pour :
obtenir, à partir d'une liste d'adresses IP configurées de toutes les passerelles VPN, une adresse IP d'une passerelle VPN qui appartient au préfixe de sous-réseau, de la passerelle VPN, comprise dans l'entrée de route directe, et déterminer que l'adresse IP obtenue de la passerelle VPN est l'adresse IP de la première passerelle VPN.
Dispositif de contrôle de VPN selon la revendication 9, dans lequel le module de notification est en outre configuré pour :
notifier à la première passerelle VPN une adresse IP du terminal et le paramètre de session de la première session SSL, la première passerelle VPN stockant l'adresse IP du terminal et le paramètre de session de la première session SSL, et le paramètre de session comprenant une clé de session, un identifiant de session et un algorithme de cryptage.